Mejores prácticas para almacenar códigos de recuperación 2FA

Navega tus respuestas
0

Recientemente, comencé a usar 2FA en varios servicios y no estoy seguro de cómo almacenar mejor los códigos de recuperación. Puedo pensar en 3 opciones:

  • En una nota segura en LastPass
  • En una carpeta de Dropbox
  • en una memoria USB

Todos ellos parecen tener sus respectivas dificultades, sin embargo:

En el caso de Lastpass: todas mis contraseñas son cadenas aleatorias de 20 a 30 caracteres (según las políticas de contraseña de servicios). Entonces, dudo que alguien pueda adivinar o forzar una contraseña a una de mis cuentas. Por lo tanto, la forma más probable de tener una cuenta comprometida es que alguien comprometa la última pasada, en cuyo caso 2FA no tendría sentido si los códigos de seguridad también estuvieran almacenados allí.

En el caso de Dropbox: la razón más probable es que necesite los códigos de seguridad si pierdo mi teléfono, pero de todos modos no podré acceder a Dropbox porque tengo 2FA habilitado allí, así que todos los códigos de recuperación esencialmente estar perdido.

En el caso de una memoria USB: esto parece ser el equivalente de escribir contraseñas en notas posteriores: es fácil de perder / olvidar o puede que no funcione 10 años después de la línea cuando sea necesario.

Fuera de los 3, la memoria USB parece la mejor opción, pero me preguntaba si alguien ha encontrado una mejor manera de almacenar los códigos de recuperación. Además, si el almacenamiento físico es el camino a seguir, ¿hay un medio preferible para esto? ¿Quizás algún tipo de almacenamiento que sea duradero durante un largo período de tiempo y pueda seguir siendo relevante en el futuro?

    
pregunta John Devitt 01.10.2017 - 15:54
fuente

4 respuestas

2

Opción 4: imprímalas en una copia impresa (no digital) y guárdelas en un lugar donde pueda guardarlas.

    
respondido por el Ben 03.10.2017 - 04:58
fuente
2

En primer lugar, aclaremos que los códigos de recuperación de 2FA se utilizan para eludir a 2FA.

El propósito principal de 2FA es asegurarse de proporcionar un secreto de dos "canales" diferentes, por ejemplo, algo que sepa o algo que tenga. La contraseña es algo que usted sabe y los códigos de recuperación, si se guardan en la memoria (su cerebro o el disco duro de su computadora) también es algo que usted sabe. Sin entrar en demasiada discusión sobre la seguridad de estos códigos de recuperación, me parece obvio que el factor "algo que usted tiene" funciona mejor cuando está completamente fuera del mundo virtual. Es decir, mantener los códigos en un trozo de papel, o pequeños trozos de papel para cada código, puede ser la mejor opción en mi humilde opinión. Claramente, cifrarlo y almacenarlo en la nube o en una computadora / dispositivo / usb por separado puede funcionar, pero eventualmente deberá descifrar y acceder a estos códigos en texto simple. En una emergencia, puede que no sea lo ideal o si sus sistemas / red se han visto comprometidos, los códigos no cifrados podrían ser accesibles para un atacante. Por lo tanto, creo que si imprime el código y lo guarda en su billetera, por ejemplo, mantiene las propiedades seguras de 2FA. Es posible que deba reconsiderarlo si viaja en avión, ya que los funcionarios podrían obligarlo a proporcionar su contraseña y confiscar su billetera. Así que solo una nota a tener en cuenta :)

    
respondido por el user160362 03.10.2017 - 12:13
fuente
0

Guardo el mío en un documento cifrado almacenado en iCloud. La cuenta de iCloud tiene habilitada la autenticación de dos factores, pero tengo cuatro dispositivos registrados y creo que las posibilidades de perder mi computadora portátil, computadora de escritorio, teléfono y tableta a la vez son bastante bajas. Naturalmente, tengo la contraseña de cifrado y la contraseña de iCloud asignadas a la memoria.

    
respondido por el Mike Scott 01.10.2017 - 16:04
fuente
0

Guardo mis contraseñas en un administrador de contraseñas de almacenamiento local, con una copia de seguridad en un dispositivo diferente, porque como un dinosaurio bastante viejo, no confío en la nube para una privacidad sólida. Lo mismo en mi vida real, llevo mis llaves de casa en el bolsillo y no las dejo en una maceta para encontrarlas cuando las necesito.

Con ese proceso, guardo los códigos de recuperación en la bóveda del administrador de contraseñas junto con las credenciales.

Análisis de riesgos:

  • compromiso de la bóveda de contraseñas: el atacante debe robar mi teléfono (o computadora) y adivinar la contraseña maestra: seguridad global a nivel 2FA
  • la bóveda de contraseñas se pierde o se destruye: tengo una copia de seguridad (de hecho 2), por lo que debería poder restaurarla, pero debo cambiar todas mis contraseñas, incluida la maestra y todos los códigos de recuperación, si eso sucediera ...
  • la nota (numérica) se pierde o ya no se puede leer: utilizo el administrador de contraseñas en forma regular en al menos 2 dispositivos diferentes, por lo que debería notar si uno de ellos no está disponible

En mi humilde opinión, puede tener sentido mantener los códigos de recuperación incluso en el mismo lugar que las credenciales, porque tuve que usarlos después de un problema al cambiar una contraseña: el servidor registró una contraseña que escribí mal, así que nadie (no incluso yo) lo sabía.

Para su caso de uso, la bóveda de contraseñas está en la nube. No almacenaría los códigos de recuperación en la bóveda porque el acceso ya está protegido por 2FA a través de su teléfono. Yo configuraría un acceso de respaldo desde un segundo dispositivo o volvería al buen papel viejo en una caja fuerte física.

    
respondido por el Serge Ballesta 03.10.2017 - 12:30
fuente

Lea otras preguntas en las etiquetas

Recuperar un disco duro cifrado bitlocker ¿Cómo verifico que el número de contacto de un banco sea correcto?